Virus Polizia Postale - nuova variante con bat e reg

Virus Polizia PostaleDa alcuni mesi sta circolando un particolare tipo di Virus chiamato "Virus della Polizia Postale" (ma si trova anche con altri nomi tipo "Polizia di Stato", "Guardia di Finanza",  "Polizia Penitenziaria"). Lo scopo del virus, per chi lo ha creato, è quello di estorcere 50 o 100 € (a seconda delle varianti) ai proprietari dei Computer infetti, facendo credere di pagare una "banale" multa per uno di questi reati:

    • Download illegale di Musica
    • Download illegale di Film
    • Download di filmati erotici con minori (porno pedofilia)
    • Email con contenuti terroristici


Ovviamente è una truffa e la Polizia Postale non ha bloccato il Computer... anzi la Polizia Postale non centra nulla ne con il virus ne con la "fantomatica" multa che i truffatori cercano di estorcere.

 

La truffa però sembra ben riuscita, perché le prime due casistiche (download illegale di Musica o Film) sono "reati minori" e l'utente inesperto potrebbe ritenere plausibile una banale multa da 50 o 100 € da pagare "On-Line". Le altre due casistiche invece no... ma ugualmente l'utente inesperto a volte ritiene la cosa plausibile.

 

A far ritenere reale il messaggio che compare pare sia la presenza dei loghi della Polizia Postale (ma esistono varianti con Guardia di Finanza, e Polizia Penitenziaria e Polizia di Stato a cui si riferisce l'immagine riportata). Alcune varianti sfruttano la webcam eventualmente presente nel computer per far vedere le immagini dell'utente del Computer.

 

Inutile dire che NON BISOGNA PAGARE. E' una truffa!

 

Detto questo bisogna dire anche che questo Virus è in genere abbastanza banale da rimuovere, eliminando un collegamento dal Menu Avvio... occorre però saperlo fare... e sapere dove mettere le mani.

 

Il problema è che questo virus blocca totalmente il Computer e quindi per poter eliminare il collegamento occorre avviare in modalità provvisoria. Delle recenti varianti però hanno bloccato questo metodo, per cui ora occorre avviare il Computer con un CD o Pennetta contenente un sistema operativo diverso (es. una Live di Linux).

 

Una recentissima variante, trovata nel PC di un cliente un paio di giorni fa, si porta molto avanti, usando non solo un link nel menu Avvio che va ad eseguire il virus vero e proprio, ma aggiunge un file .BAT con codice simile a questo:

 
START "ok" rundll32.exe C:\Users\USER\wgsdgsdgdsgsd.exe,M1N1 /B

e un file .REG con codice simile a questo:

 
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\\PROGRA~3\\dsgsdgdsgdsgw.bat"

Nell'esempio il file del vrius si chiama wgsdgsdgdsgsd.exe, ma può avere nomi differenti.

 

Il file .REG in particolare modifica una chiave nel registro che è quella che dice al sistema operativo quale programma avviare come shell ad ogni avvio del sistema. In genere questo programma è "explorer.exe" e cioè il programma che su Windows visualizza il "desktop", la "barra delle applicazioni" e il "menu avvio".

 

Come soluzione, una volta aver eliminato/rinominato il virus e i relativi file .bat, .reg e .pad e riavviato il sistema, poiché non partirà "explorer.exe" (il sistema cercherà infatti di avviare il file bat del Virus) occorrerà avviare Taskmanager premendo Ctrl+Alt+Canc (su Vista, Win7 e Win8 si dovrà selezionare poi "Avvia gestione attività") quindi, dal Task manager va avviato Regedit e reimpostata la chiave shell da "C:\\PROGRA~3\\dsgsdgdsgdsgw.bat" a "explorer.exe" e infine riavviare di nuovo il sistema.

 

Ovviamente completare il tutto con scansione Antivirus e Antispyware.

Nota: Rispetto alle versioni precedenti del Virus è cambiata anche la schermata. Purtroppo non ho avuto modo di prendere nota o fotografarla, ma in sintesi diceva che per via di recenti semplificazioni (si referiva ad una fantomatica legge di dicembre 2012) determinati reati, si possono "scontare" con una piccola multa se pagati subito.
Insomma un modo subdolo per invogliare i malcapitati a pagare subito...

 

Il miglio modo per evitare questo virus è quello di usare un Buon Antivirus, tenerlo aggiornato, e aggiornare anche tutti i software installati nel sistema operativo, in particolare quelli installano i PlugIn dei Browser (Adobe Reader, Flash, Java etc).